AUDITORIA-INFORMATICA - Cuestionario y Fotos de Evidenciaaa

INTEGRANTES:
ISABEL VILCA QUISPE

JOSE LUIS CALLACONDO
SHIRLEY MAMANI RODRIGUEZ
DOCENTE:
ALEX ZUIGA INCALLA
INDICE
Dedicatoria......................................................................................2
SOLICITUD DE AUDITORA INTERNA A LA EMPRESA OLVA CORIER........3
PLANEACION DE LA AUDITORIA INFORMATICA....................................5
1.1. ORIGEN DE LA AUDITORIA:................................................................6
1.2. OBJETIVO GENERAL............................................................................. 6
1.3. OBJETIVOS ESPECIFICOS....................................................................6
1.4. ANTECEDENTES................................................................................... 6
1.5. ENFOQUE A UTILIZAR.........................................................................9
1.6. PERSONAL A CARGO DE AUDITAR.....................................................9
1.7. CRONOGRAMA DE TRABAJO.............................................................10
Diagrama de actividades...........................................................12
Auditoria del hardware..............................................................13
1.8. DOCUMENTOS A SOLICITAR.............................................................14
1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER..............................14
1.10.
PRINCIPALES ACTIVIDADES:...............................................14
1.11.
RECURSOS PARA LA AUDITORIA..........................................15
Humanos:....................................................................................15
Materiales:..................................................................................15
Tecnolgicos................................................................................16
1.12.
METODOLOGIA................................................................................ 16
1.13.
ANALISIS FODA...............................................................................18
UNIVERSIDAD NACIONAL DE MOQUEGUA

49
Dedicatoria
Por este medio agradecemos a OLVA COURIER por permitir realizar nuestro trabajo
dentro de sus instalaciones, as permitirnos obtener experiencia como auditores
en informtica. Apreciamos la confianza que nos brindaron, brindando todo lo que
necesitbamos para la elaboracin del documento, tiempo, informacin, etc.

49
SOLICITUD DE AUDITORA INTERNA A LA EMPRESA OLVA CORIER

En Ilo, a 2 de Diciembre de 2013.
Yo, Jos Luis Callacondo, mayor de edad, con DNI 47014048, en condicin
de alumno de la Universidad Nacional de Moquegua de la carrera
profesional ingeniera de sistemas e informtica del VIII ciclo.
EXPONE:
1) Que segn la Norma ISO (Organizacin Internacional de Normalizacin)
9001:2008, de Gestin y Aseguramiento de la Calidad, el centro se
encuentra en fase de implantacin del Sistema General de Calidad.
2) Que de acuerdo en lo establecido en la Normas del rea de
Informtica, sobre Seguimiento y medicin, es preceptivo la realizacin
de la Auditora Interna.
Es por ello que a la Empresa OLVA CORIER
SOLICITA:
Que para la realizacin de dicha Auditora del ao 2013 se enve a los

pertinentes Auditores Internos de la empresa.
Que la realizacin de la Auditora Interna en el centro al que representa

se realice en el mes de Diciembre y preferentemente en el da de la
semana 16 al 28 .
49
Que no se realice la Auditora Interna en su centro los das Sbados ni

Domingos
Asimismo, el centro asume el compromiso de cumplir con las pautas que se le

indiquen y a la colaboracin con el Auditor para la realizacin de sus funciones.
Para que as conste, se solicita en forma y plazo
1 de Diciembre de 2013
---------------------------------ATT. Jos Luis Callacondo

PRESIDENTE DE AUDITORIA INFORMTICA
---------------------------------ATT. Isabel Vilca Quispe

AUDITORA INFORMATICA

49
---------------------------------ATT. Shirley Mamani Rodriguez

INTRODUCCIN
En la Actualidad los Sistemas Informticos constituyen una herramienta bastante

poderosa para la mejora de rendimiento de toda organizacin empresarial.
Del mismo modo, no solo se trata de adquirir tecnologa, sino que tambin
es necesario saber darle el uso adecuado de acuerdo a los Requerimientos
particulares de un determinado usuario o grupos usuarios.
La Auditora Informtica, es un punto clave en este sentido, debido a que, si
bien es cierto,
reas
ayuda a detectar errores y sealar fallas en determinadas
procesos,
planteando
mtodos
informacin
que
son
su
y
objetivo
est
procedimientos
validos
para
orientado
de
cualquier
control
a
de
empresa
brindar soluciones,
los sistemas
de
u organizacin por
pequea que esta sea.

El auditor informtico ha de velar por la correcta utilizacin de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
sistema de informacin.

49
Cabe resaltar que para la realizacin de una auditoria informtica eficaz, es

necesario entender a la empresa en su ms amplio sentido, El presente informe,
realizado por la empresa JC auditores, plantea un estudio profesional del los
diversos factores que pueden estar influyendo en las operaciones de la empresa
auditada OLVA COURIER a fin de brindar las soluciones y recomendaciones
pertinentes.
PLANEACION DE LA AUDITORIA
INFORMATICA

49
AUDITORIA INFORMATICA
AUDITORIA INFORMATICA A LA EMPRESA OLVA CORIER S.A.
1.1. ORIGEN DE LA AUDITORIA:

La presente Auditoria se realiza en el cumplimiento de las normas de
seguridad en dicha rea de acuerdo al estndar ISO 9000
1.2. OBJETIVO GENERAL
Supervisar el rea de informtica de la empresa , de igual manera revisar su
utilizacin, eficiencia y seguridad para su previa participacin en el
procesamiento de la informacin, para que logre una utilizacin mas
49
eficiente y segura informacin que servir para una adecuada toma de

decisiones.
1.3. OBJETIVOS ESPECIFICOS
Evaluar el diseo de los equipos de computo del rea de informtica
Determinar la veracidad de la informacin del rea de Informtica
A analizar su estandarizacin y evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de
almacenamiento bsico del rea de Informtica

Evaluar el control que se tiene sobre el mantenimiento y las fallas de las
Pcs.
Verificar
las
disposiciones
reglamentos
que
coadyuven
al
mantenimiento del orden dentro del rea de cmputo.

1.4. ANTECEDENTES
El 23 de marzo de 1987, dos jvenes empresarios decidieron fundar Olva &
Asociados S.R.L., empresa de correo privado dirigida a especializarse
exclusivamente al correo nacional. Hoy, nos hemos convertido en el
courier ms grande del Per: OLVA COURIER.
Gracias al buen servicio, la conformidad y los mejores tiempos de entrega,
servicios complementarios a nivel nacional, y la confianza que se gener
entre nuestros clientes, es que entre los aos 1990 y 1991, logramos una
importante cartera de ms de 600 clientes corporativos, pertenecientes a
diversos sectores de negocio.
Ya para 1996 nos habamos convertido en una organizacin con 68 oficinas
en todo el Per, dedicadas al servicio de entregas, todas adecuadamente
equipadas y con la debida infraestructura.
Al nuevo milenio, ingresamos como una empresa slida que cuenta con un
almacn central de 3.300 m2, 14 locales de atencin al pblico ubicados
49
en distritos estratgicos de Lima, 270 oficinas en provincias y ms de 200

unidades mviles que recorren todo el pas.
En el 2011, continuando con nuestro espritu de crecimiento, en OLVA
COURIER iniciamos una nueva etapa al lanzar nuevas unidades de negocio:
Olva Carga, Olva Export-Import, Olva TI; y una nueva lnea de servicio de
gestiones con cobertura nacional: verificaciones, cobranzas, trmites,
firma de contratos, outsoursing, control de colas y auditora de envos
masivos.
Tras 25 aos de experiencia, repotenciamos la marca y renovamos el
logotipo e identidad corporativa. Nuestra red de oficinas se consolida
siendo la nica que permite brindar servicios de Lima a provincias, de
provincias a Lima, entre provincias y locales, soportando una cartera de
clientes corporativos superior a las 1,000 empresas y ms de 2 millones de
personas naturales, convirtiendo a OLVA COURIER en la empresa lder en el
servicio courier en el pas.

49

49
1.5. ENFOQUE A UTILIZAR

La presente accin de control, se realiza de acuerdo con el organismo
central y rector de los Sistemas Nacionales de Estadstica e Informtica,
responsable de normar, supervisar y evaluar los mtodos, procedimientos y
tcnicas estadsticas e informticas utilizados por los rganos del Sistema
INEI
(Instituto
Nacional
de
Estadstica
Informtica),
Normas
Internacionales de Auditoria (NIA); habindose aplicado procedimientos de

Auditoria que se consideraron necesarios de acuerdo a las circunstancias.
Esta accin se realizara de acuerdo al objetivo de la auditoria informtica
tomando en cuenta que cada uno de los integrantes del equipo
participaremos como responsables cumpliendo ciertas condiciones las
cuales son supervisar y evaluar los procedimientos y tcnicas informticas
utilizadas en esta institucin.
Habiendo as aplicado los procedimientos de auditoria que se consideren
necesarios de acuerdo a las circunstancias.
La presente Auditoria Informtica se realizara en la empresa OLVA CORIER,
ubicada en el Distrito de Ilo, Departamento de Moquegua, siendo el rea a
examinarse la de Informtica.
1.6. PERSONAL A CARGO DE AUDITAR
ORGANIZACIN QUE LLEVA

LA AUDITORIA
JEFE AUDITOR:
JOSE LUIS
CALLACONDO
49
AUDITOR:
ISABEL VILCA QUISPE
AUDITOR:
SHIRLEY MAMANI
ROGRIGUEZ
1.7. CRONOGRAMA DE TRABAJO

PROGRAMA DE AUDITORIA
Empresa: Olva Courier S.A.
ACTIVIDAD
HORAS
FASE
ENCARGADOS
ESTIMA
1
Planificar
1.Solicitud
de
manuales
Documentacin
DAS
16-19 de
-Ing. Isabel
diciembr
Vilca Quispe
- Ing. Jos Luis
2.Elaboracion de Cuestionarios
Callacondo
3.Recopilacion de la Informacin
- Ing. Shirley
4.Pistas de auditoria
Mamani
5.Obtencion
para
evidencia
de
Rodrguez
auditoria
6.Reconocimiento
de
factores
internos de la entidad a auditar

2
Ejecutar
1.Aplicaciones del cuestionario al
Personal
20-27 de
-Ing. Isabel
diciembr
Vilca Quispe
- Ing. Jos Luis
2.Analisis de las claves de acceso y
Callacondo
control seguridad, confiabilidad y
- Ing. Shirley
respaldos
Mamani
3.Evaluacion
relevamiento
software,
de
de
los
sistemas;
hardware
evaluacin
del
Rodrguez
diseo

49
lgico y del desarrollo del sistema

4.
Evaluacin
de
la
estructura
orgnica de la empresa.
5. Evaluacin del rea informtica
y su flujo de trabajo.
6. Evaluacin de las normas de
seguridad en dicha entidad sobre
posibles riesgos.
7.Evaluacin del proceso de datos
y de los equipos de cmputo:
seguridad de los datos, control de
operacin
seguridad
fsica
procedimientos de respaldos
3
verificar
1.Revision de papeles de trabajo y
solicitud de requerimientos
2.Determinacion
de
27
diciembr
e
diagnstico
-Ing. Isabel
Vilca Quispe
- Ing. Jos Luis
Callacondo
Implicaciones
- Ing. Shirley
3.Elaboracion de carta de Gerencia
Mamani
4.Elaboracion de Borrador(Informe
Rodrguez
Preliminar / Memorando)
Actuar
1.Elaboracion y presentacin del
Informe
2.Seguimiento
28diciembr
e
-Ing. Isabel
Vilca Quispe
- Ing. Jos Luis
Callacondo
- Ing. Shirley
Mamani
Rodrguez

49

49
Diagrama de actividades

49
Auditoria del hardware

49
1.8.
DOCUMENTOS A SOLICITAR
Polticas, estndares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, plizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER
DIRECTOR
VASQUEZ LOPEZ GUSTAVO
DIRECTOR ADMINISTRATIVO
VASQUEZ VELA ROSA MERCEDES
DIRECTOR GERENTE
VASQUEZ VELA ANDERSON
1.10. PRINCIPALES ACTIVIDADES:

Olva Courier ofrece los siguientes servicios:
1) Soluciones courier: - Recojo y entrega a domicilio. - Retorno de
cargos adjuntos y guas de remisin. - Embalaje sin costo y embalaje

49
especial. - Reporte de entregas diarias, semanales o mensuales. - Sistema

de comunicacin en tiempo real entre todas las oficinas.
2) Soluciones logsticas: - Servicio de carga. - Compras urgentes.
3) Transferencias de dinero.
4) Outsourcing:
* Municipalidad: - Partida de matrimonio. - Partida de nacimiento.
* Notaras: - Copia de minuta. - Carta notarial.
* Licitaciones: - Compra de bases. - Concursos pblicos. Adjudicaciones directas.
* Essalud/Red asistencial: - Cobranzas de cheque. - Recojo de
muestras. - Recojo de comprobantes de retencin.
- Compra de
bases.
* Iglesias:
comunin.
- Partida de confirmacin. - Partida de primera

- Partida de bautizo. - Partida de matrimonio.
* Ministerio de educacin:
- Certificado de estudios.
- Compra
de formatos de ttulo.
* Colegios: - Certificado de estudios.
* SUNARP: -Ttulos de propiedad.
propiedad.
- Ttulo vehicular.
- Tarjetas de
- Duplicado de tarjetas de propiedad

49
1.11. RECURSOS PARA LA AUDITORIA

Humanos:
Auditor principal.
Asesores.
Materiales:
Materiales de escritorio y oficina.

Fotocopias.
Pendrive (USB).
Computadora de escritorio.
Cartuchos de tinta.
Tecnolgicos.
Paquete Office.
Internet Speedy 4MB
Telefona
Impresora multifuncional.
Laptops.
1.12. METODOLOGIA
La metodologa de investigacin a utilizar en el proyecto se presenta a
continuacin:
Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes
actividades:
Solicitud de los estndares utilizados y programa de trabajo

Aplicacin del cuestionario al personal
Anlisis y evaluacin del a informacin
Elaboracin del informe
Para la evaluacin de los sistemas tanto en operacin como en
desarrollo se llevarn a cabo las siguientes actividades:
49
o Solicitud del anlisis y diseo del os sistemas en desarrollo y en

operacin
o Solicitud de la documentacin de los sistemas en operacin
(manuales tcnicos, de operacin del usuario, diseo de archivos y
programas)
Recopilacin y anlisis de los procedimientos administrativos de
cada sistema (flujo de informacin, formatos, reportes y consultas)

o Anlisis de llaves, redundancia, control, seguridad, confidencial y
respaldos
o Anlisis del avance de los proyectos en desarrollo, prioridades y
personal asignado
o Entrevista con los usuarios de los sistemas
o Evaluacin directa de la informacin obtenida contra las
o
o
o
Para
necesidades y equerimientos del usuario

Anlisis objetivo de la estructuracin y flujo de los programas
Anlisis y evaluacin de la informacin recopilada
Elaboracin del informe
la evaluacin de los equipos se llevarn a cabo las siguientes
actividades:
o Solicitud de los estudios de viabilidad y caractersticas de los equipos
o
actuales, proyectos sobre ampliacin de equipo, su actualizacin

Solicitud de contratos de compra y mantenimientos de equipo y
o
o
o
sistemas
Solicitud de contratos y convenios de respaldo
Solicitud de contratos de Seguros
Elaboracin de un cuestionario sobre la utilizacin de equipos,
memoria, archivos, unidades de entrada/salida, equipos perifricos y
su seguridad
o Visita tcnica de comprobacin de seguridad fsica y lgica de la
instalaciones de la Direccin de Informtica
o Evaluacin tcnica del sistema electrnico y ambiental de los equipos
y del local utilizado
o Evaluacin de la informacin recopilada, obtencin de grficas,
porcentaje de utilizacin de los equipos y su justificacin
49
Elaboracin y presentacin del informe final ( conclusiones y

recomendaciones)
1.13. ANALISIS FODA
Fortalezas
o Disponibilidad de recursos econmicos.
o Personal Directivo y tcnico con experiencia(sistemas computacionales)
Oportunidades
o Buen servicio y trato.
Debilidades
o
o
o
o
Falta de planes y Programas Informticos.

Escasa capacidad sobre conocimientos en informtica
No existe programas de capacitacin y actualizacin al personal
Personal tcnico Calificado insuficiente en el rea de computo
Amenazas
o sistemas obsoletos
o falta de mantenimiento a los equipos
o robo de material de trabajo de esta aula
ANLISIS INTERNO
FORTALEZAS
DEBILIDADES
Control de Almacn.
Tratamiento personalizado a
clientes,
orientacin
y
Realizar grandes proyectos en el
asesoramiento.
sector privado y pblico.
Integracin de productos y
Dependencia de los servicios
servicios
buscando
sinergias
subcontratados.
entre ellos.
Sistema
de
Informacin
Innovacin Constante.
Integrado (Compras, ventas,
Almacn y Krdex).
Personal
debidamente
Capacitado y comprometido con
la visin de la Organizacin.
ANLISIS EXTERNO
OPORTUNIDADES
AMENAZAS

49
Valoracin positiva de las TIC

en la Organizacin.
Costos cada vez menores para
las
Organizaciones para la
aplicacin de las TIC.
Lealtad de los clientes hacia
la
Organizacin.
Ubicacin Cntrica del Local.
Oferta de productos a menor

precio por parte de la
competencia.
La inestabilidad econmica de
los pobladores de la cuidad
de
Huaraz.
Cambios repentinos de los
Sistemas Informticos.
Incremento de la Competencia.
EJECUCION DE LA AUDITORIA
INFORMATICA

49
N TIPO DE
Modelo
N de Serie
Marca
HADWARE
Capa
cidad/
Tama
1
2
3
4
Toshiba
o
300G
N82E1682213
Western
B
80GB
VT
6314
Digital
6L080M0
WD10EADS
72N6L080M0
WD10EADS12
IBM
Western
80GB
160G
3HKZ3
Digital
AMD
2.0gh
Intel
z
3.0Gh
E-HDD
MK3200GA
E-HDD
H
WD5000BE
E-HDD
E-HDD
MK3200KHK
Desktop/Registr Clone/AMDT AMD2VK8000-
o
Desktop/Estaci
urion
Clone/Intel
M20
Intel Grand i8
on 1
P IV Intel
65PE
Desktop/Estaci
Clone/Intel
Intel Grand i8
on 2
P IV Intel
65PE
Desktop/Server
Clone/Intel
Intel dg41rq
P IV
Rack/Server 2
DellPowerE
z
Intel
0
1
2.8G
Hz
Intel
1.8G
Hz
Intel dual core
Intel
dgeR310
1
Tipos de
hardware
2.6G
Hz
KVM
KVMDUAL2
200098X87UH
HP
2PCs
LCD
X754
HPL19540
DK
LKJNHLCD19K
HP
19
DELL
17"
1
1
LCD
DLAV17YH
N
009768BJHD
2
1
LCD
KHLN79191
23409087NHY
DELL
17"
3
1
LCD
7KJB
HBJ15JJR
LKJHN
BB15NJKB
DELL
17"
4
1
LCD
KHSD15JHK
UNIVERSIDAD
NDOUOAD187
HP NACIONAL
19"DE MOQUEGUA
5 49
1
Mouse Laser 1
KHHKLOGM
9
JJBJJNLOG
6
1
B
KHHKLOGM
JJBJJNLOG
MouseLaser2
Logitech
Logitech
Aplicaciones de software
N
Aplicaciones
Ubicacin
Contr
ol
1
Office2010
Office2007
Microsoft Office
XP
Iwork
Neo Office
Microsoft Office
MAC 2008
AVG Anti-Virus
NOD32
10
Descripcin
ad
Open Office 3.3
Cantid
Avast Antivirus
11
Kaspersky Anti-
12
Virus
Avira AntiVir
13
Adobe CS5
14
FullSuite
Adobe CS4
FullSuite
CD case 1
CD Case 1
CD Case 1
CD Case2
CD Case 1
CD Case 2
CD Case2
CD Case 3
CD Case 3
CD Case 3
CD Case 3
CD Case 3
CD Case 3
CD Case 3
Aplicacin Ofimtica
Libre
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin de
seguridad FreeWare
2Aplicacin de
seguridad Sin Licencia

Aplicacin de
seguridad Free Ware

Aplicacin de
seguridad Sin Licencia

Aplicacin de
seguridad FreeWare
Aplicacin Diseo Sin l
icencia
icencia
49
15
Adobe CS3
16
FullSuite
SD Fix malware
CD Case 3
CD Case 3
icencia
Aplicacion
antimalware Freeware
17
Flash
18
Disinfector
Malware bytes
19
Windows Seven
20
Mac OS X
CD Case 3
Aplicacin anti
malwareFreeware
aplicacin
CD Case 3
antimalwareFreeware
aplicacin sin licencia
CD Case 3
aplicacin sin licencia
CD Case 3

49
AUDITORA FSICA
ALCANCE
Esta auditora fue aplicada en todas las reas que se encuentran en
ejecucin (Coordinacin, Administracin, recepcin ) las mismas que operan
en la oficina principal (Oficina Administrativa), puesto que en ella se encuentran
los equipos de cmputo con los que dispone la empresa, y en donde se
evaluar:
Organizacin y calificacin del personal de Seguridad.

Planes y procedimientos de Seguridad y Proteccin
Sistemas tcnicos de Seguridad y Proteccin.
Remodelar el ambiente de trabajo.
OBJETIVOS
Verificar la ubicacin y seguridad de las instalaciones.

Determinar y evaluar la poltica de mantenimiento y distribucin de
los equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en
el ambiente
Verificar la
instalaciones
Revisin de polticas y normas sobre seguridad Fsica de los medios, como
son:
Edifico,
seguridad
del
personal,
datos,
hardware, software e
Instalaciones, Equipamiento y Telecomunicaciones, Datos y
Personas.
Verificar si la seleccin de equipos y Sistemas de computacin es
adecuada.
DESARROLLO DE LA AUDITORA
SEGURIDAD FSICA
Ubicacin de la Oficina Central/Oficina administrativa
49
La oficina central se encuentra ubicada Ilo
alternativo para cuando termine el convenio de cesin en uso con la misma.

En dicho ambiente se llevan a cabo operaciones de Coordinacin,
Administracin y servicios.
Adems, all se encuentra almacenada toda la documentacin concerniente
a la empresa, en grandes folios apilados en estanteras.

De igual forma, todos los equipos de cmputo con los que cuenta la empresa,
se encuentran en este ambiente.

Las ventanas superiores no poseen ninguna estructura metlica
enrejado)
que
proteja
el
acceso
y no tienen previsto un local
(Malla
a personas no autorizadas y
malintencionadas.
Seguridad General
De acuerdo a las observaciones realizadas en la oficina informatica, la

ubicacin de los equipos de computo no constituyen un inconveniente para
49
los accesos
y salidas de la misma, sin embargo, cabe resaltar que el servidor
se encuentra en un lugar vulnerable.

En lo referente a la seguridad elctrica, los auditores, pudo
verificar
que
cables no estn debidamente colocados, pues estn a la vista de todos

de forma desorganizada, adems, en los toma corrientes, existen varios cables
sueltos, los cuales constituyen un riesgo y puede ocasionar desastres mayores.

Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de
canaletas ni de caja toma datos.

Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo
e posible prdida de informacin por averas serias en el equipo.

No disponen de un equipo contra incendios y mucho menos cuentan con
la capacitacin adecuada para el manejo de estos.
Plan de Contingencia
De acuerdo con el Inventario de Documentos realizado en la empresa;
los
Auditores pudo verificar que muchos de los lineamientos del plan de

Contingencia que poseen, no han sido ejecutados a la fecha.
Control de accesos

49
Puesto
que
se
trata
de
un
ambiente
relativamente
pequeo,
imprescindible contar con un sistema para ello; todos los
no
accesos
es
son
verificados en la entrada principal de la sede.

Seleccin de personal
El
personal
que
labora
en
la
empresa
indispensables para su labor, los cuales han
cuenta
sido
con
los conocimientos
seleccionados
de
una
manera adecuada, tanto por concurso as como respectivas entrevistas

Seguridad de datos
Actualmente la duplicacin y preservacin de la informacin depende de la
empresa
quien es responsable de proteger su informacin contra prdidas,
modificacin de las mismas y accesos a personal no autorizado.
DISTRIBUCIN Y MANTENIMIENTO DE EQUIPOS

Distribucin de los equipos informticos

49
No existen mayores dificultades, puesto que todos los equipos informticos

yacen en un mismo ambiente, y por cuyas dimensiones no son representa gran
inconveniente.
Mantenimiento de los equipos informticos
En cuanto a su mantenimiento no se cuenta con personal adecuado y
capacitado para solucionar problemas en el mal funcionamiento del hardware,
lo cual retrasa el trabajo del usuario del equipo afectado.
Segn la informacin obtenida, no se tiene plan o cronograma para el
mantenimiento de equipos, por lo que el mismo se da espordicamente para lo
cual se hace uso de servicios tcnicos externos.
ENCUESTA:
1. Se
han
adoptado medidas
de
seguridad en
el
departamento de
sistemas de informacin?
2. Existe
una persona
responsable
de
la
seguridad?
3. Se ha dividido la responsabilidad para tener un mejor control de la
seguridad?
4. Existe
personal
de
vigilancia
en
la
institucin?

49
5. Existe una clara definicin de funciones entre los puestos clave?

6. Se controla
el
trabajo
fuera de
horario?
7. Se registran las acciones de los operadores para evitar que realicen
algunas pruebas que puedan daar los sistemas?.
8. Existe vigilancia en el departamento de cmputo las 24 horas?
9. Se permite
el
acceso
a
los
archivos
y
programa a
10.
los programadores, analistas y operadores?

Se ha instruido a estas personas sobre que medidas tomar en caso
de que alguien pretenda entrar sin autorizacin?

11.
El centro de cmputo tiene salida al exterior?
12.
Son controladas las visitas y demostraciones en el centro de
cmputo?
13.
Se registra el acceso al departamento de cmputo de personas
ajenas a la direccin de informtica?
14.
Se vigilan la moral y comportamiento del personal de la direccin de
informtica con el fin de mantener una buena imagen y evitar un posible
fraude?
15.
Se ha adiestrado el personal en el manejo de los extintores?
16.
Se revisa de acuerdo con el proveedor el funcionamiento de los
extintores?
17.
Si es que existen extintores automticos son activador por detectores
automticos de fuego?
18.
Los interruptores
19.
de
energa
estn debidamente
protegidos, etiquetados y sin obstculos para alcanzarlos?

Saben que hacer los operadores del departamento de cmputo, en
caso de que ocurra una emergencia ocasionado por fuego?

20.
El personal ajeno a operacin sabe que hacer en el caso de una
emergencia (incendio)?
21.
Existe salida de emergencia?
22.
Se revisa frecuentemente que no est abierta o descompuesta la
cerradura de esta puerta y de las ventanas, si es que existen?
23.
Se ha adiestrado a todo el personal en la forma en que se deben
desalojar las instalaciones en caso de emergencia?

49
24.
Se ha prohibido a los operadores el consumo de alimentos y bebidas
en el interior del departamento de cmputo para evitar daos al

equipo?
25.
Se limpia con frecuencia el polvo acumulado debajo del piso falso si
existe?
26.
Se cuenta con copias de los archivos en lugar distinto al de la
computadora?
27.
Se tienen establecidos procedimientos de actualizacin a estas
copias?
28.
Existe departamento de auditoria interna en la institucin?
29.
Este departamento de auditoria interna conoce todos los aspectos de
los sistemas?
30.
Se cumplen?
31.
Se auditan los sistemas en operacin?
32.
Una vez efectuadas las modificaciones, se presentan las pruebas a
los interesados?
33.
Existe control estricto en las modificaciones?
34.
Se revisa que tengan la fecha de las modificaciones cuando se
hayan efectuado?
35.
Si se tienen
terminales
conectadas,
se
ha
establecido
procedimientos de operacin?
36.
Se ha establecido que informacin puede ser acezada y por qu
persona?
AUDITORIA OFIMATICA
49
ALCANCE
La auditoria Ofimtica fue aplicada en todas las reas que se encuentran en
aplicacin (coordinacin, administracin, unidad de investigacin, unidad de
semillas, y unidad de capacitacin), las mismas que operan en la oficina
principal
rea de informtica
Los puntos que se tomarn son, Revisin de: inventario, polticas de
mantenimiento, licencias, desempeo del software existente, seguridad de la
data.
OBJETIVOS
Determinar si el inventario ofimtico refleja con exactitud los equipos
y aplicaciones existentes en la organizacin

Determinar y evaluar la poltica de mantenimiento definida en la
organizacin
Verificar el desempeo del software empleado en la institucin
Verificar la legalizacin del software utilizado.
Verificar la seguridad en la data
DESARROLLO DE LA AUDITORA
Todas las opiniones profesionales vertidas en este documento estn
respaldadas por las entrevistas, inventarios y observaciones realizadas
durante las visitas a la Institucin.
INVENTARIO
De acuerdo a la investigacin realizada por la consultora de Auditores, la
empresa OLVA COURIER., so cuenta con un inventario, la cual si saben con
exactitud con cuantos equipos de hardware/software cuentan.
49
MANTENIMIENTO
La empresa OLVA COURIER no cuenta con una poltica de mantenimiento
preventivo de sus equipos, se hace mantenimiento solo y cada vez que
estos empiezan a fallar.
SISTEMAS - NECESIDADES
Actualmente existen dos aplicaciones en red que son:
Sistema de envio , Sistema comercial pero dichas aplicaciones son
utilizados actualmente. Adems cabe recalcar que algunos accesorios de
cmputo no se utilizan a cabalidad como por
ejemplo las quemadoras y lectoras, son 4 computadoras de escritorio y
cada uno de ellos posee una quemadora y lectora, pero estos
accesorios se utilizan con poca frecuencia.
LICENCIAMIENTO
Los Software que se utilizan en la empresa OLVA COURIER solo dos sistemas
cuentan con licencias, el resto ninguno de ellos cuentan con licencia, esto
puede ser perjudicable para la empresa ya que puede haber fuertes
sanciones por el uso ilegal

49
APLICACIONES INSTALADAS
No existe un control del software que los trabajadores puedan descargar
de Internet y el uso que le den a los mismos, de igual forma de software
no licenciado que puedan instalar en los equipos.
COPIAS DE SEGURIDAD
La empresa OLVA COURIER no realizan copias deseguridad (backup) de
sus datos, ya que ante un desastre fsico (robo, hurto) o lgico (virus) se
pierde toda la data, pero realizan un descargo a lima diariamente.
ENCUESTAS:
1. Existe un informe tcnico en el que se justifique la adquisicin del
equipo, software y servicios de computacin, incluyendo un estudio costo
beneficio?
2. Existe un comit que coordine y se responsabilice de todo el proceso de
adquisicin e instalacin?

49
3. Han elaborado un instructivo con procedimientos a seguir para la

seleccin y adquisicin de equipos, programas y servicios
computacionales?
4. se cuenta con software de oficina?
5. Se han efectuado las acciones necesarias para una mayor participacin
de proveedores?
6. Se ha asegurado un respaldo de mantenimiento y asistencia tcnica?
7. El acceso al centro de cmputo cuenta con las seguridades necesarias
para reservar el ingreso al personal autorizado?
8. Se han implantado claves o password para garantizar operacin de
consola y equipo central (mainframe), a personal autorizado?
9. Se han formulado polticas respecto a seguridad, privacidad y
proteccin de las facilidades de procesamiento ante eventos como:
incendio, vandalismo, robo y uso indebido, intentos de violacin?
10. Se mantiene un registro permanente (bitcora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de
procesos?
11. Los operadores del equipo central estn entrenados para recuperar o
restaurar informacin en caso de destruccin de archivos?
12. Los backups son mayores de dos (padres e hijos) y se guardan en
lugares seguros y adecuados, preferentemente en bvedas de bancos?
13. Se han implantado calendarios de operacin a fin de establecer
prioridades de proceso?
14. Todas las actividades del Centro de Computo estn normadas
mediante manuales, instructivos, normas, reglamentos, etc.?
15. Las instalaciones cuentan con sistema de alarma por presencia de
fuego, humo, as como extintores de incendio, conexiones elctricas
seguras, entre otras?
16. Se han instalado equipos que protejan la informacin y los
dispositivos en caso de variacin de voltaje como: reguladores de voltaje,
supresores pico, UPS, generadores de energa?

49
17.
Se han contratado plizas de seguros para proteger la informacin,
equipos, personal y todo riesgo que se produzca por casos fortuitos o

mala operacin?
18. Se han Adquirido equipos de proteccin como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la adquisicin del
equipo?
19. Si se vence la garanta de mantenimiento del proveedor se contrata
mantenimiento preventivo y correctivo?
20. Se establecen procedimientos para obtencin de backups de
paquetes y de archivos de datos?
21. Se hacen revisiones peridicas y sorpresivas del contenido del disco
para verificar la instalacin de aplicaciones no relacionadas a la gestin
de la empresa?
22. Se mantiene programas y procedimientos de deteccin e
inmunizacin de virus en copias no autorizadas o datos procesados en
otros equipos?
23. Se propende a la estandarizacin del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrnicas,
manejadores de base de datos y se mantienen actualizadas las versiones
y la capacitacin sobre modificaciones incluidas?

49
AUDITORIA DE REDES
ALCANCE
La auditoria de redes fue
aplicada en todas las reas que
se
encuentran en aplicacin
(coordinacin, administracin,
unidad de investigacin, unidad de semillas, y unidad de capacitacin), las
mismas que operan en la oficina principal (oficina administrativa)
Los puntos a tomar en cuenta sern los siguientes:
Organizacin y calificacin del tendido de red.
Planes y procedimientos.
Sistemas tcnicos de Seguridad y Proteccin.
49
OBJETIVOS
reas controladas para los equipos de comunicaciones, previniendo as
accesos inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicacin, para
evitar accesos fsicos

Revisar las polticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan
REFERENCIA LEGAL
Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD
2177/96)
ENCUESTAS
1. La gerencia de redes tiene una poltica definida de planeamiento de
tecnologa de red?
2. Esta poltica es acorde con el plan de calidad de la organizacin
3. La gerencia de redes tiene un plan que permite modificar en forma oportuna
el plan a largo plazo de tecnologa de redes , teniendo en cuenta los
posibles cambios tecnolgicos o en la organizacin?
4. Existe un inventario de equipos y software asociados a las redes de datos?
5. Existe un plan de infraestructura de redes?
6. El plan de compras de hardware y software para el sector redes est de
acuerdo con el plan de infraestructura de redes?
7. La responsabilidad operativa de las redes esta separada de las de
operaciones del computador?
8. Estn establecidos controles especiales para salvaguardar la
confidencialidad e integridad del procesamiento de los datos que pasan a
travs de redes pblicas, y para proteger los sistemas conectados
9. Existen controles especiales para mantener la disponibilidad de los servicios
de red y computadoras conectadas?
10.
Existen controles y procedimientos de gestin para proteger el acceso
a las conexiones y servicios de red.?
49
11.
12.
13.
Existen protocolos de comunicaron establecida

Existe una topologa estandarizada en toda la organizacin
Existen normas que detallan que estndares que deben cumplir el
hardware y el software de tecnologa de redes?

14.
La transmisin de la informacin en las redes es segura?
15.
El acceso a la red tiene password?
DESARROLLO DE LA AUDITORIA
para el desarrollo de esta auditora especfica se emplear el modelo
adoptado por iso (internacional standarts organization), el cual se
denomina modelo osi (open systems interconection), el cual consta de 7
capas, las cuales se tomarn para realizar la auditora.
Areas controladas para los equipos de comunicaciones,
previniendo as accesos inadecuados
los equipos de comunicaciones ( switch, router ) no se mantienen en
habitaciones cerradas
la seguridad fsica de los equipos de comunicaciones (switch, router) es
inadecuada.
cualquier persona tiene acceso ya que se encuentra cerca de un lugar
transitable

49
Proteccin y tendido adecuado de cables y lneas de

comunicacin, para evitar accesos fsicos
los cables de comunicacin de datos, elctricos y de telfono estn juntos y
amarrados por otro cable, no existen procedimientos para la proteccin de
cables y bocas de conexin, esto dificulta que sean interceptados o
conectados por personas no autorizadas, no se realiza revisiones preventivas
a la red de comunicaciones
Revisar las polticas y normas sobre redes y el funcionamiento de la
red y la seguridad de los datos dentro de la red lan
A. Mapa de redes

49
B.- Modelo OSI, capa Fsica.

Capa Fsica: Transforma la informacin en seales fsicas adaptadas al
medio de comunicacin.
El cableado utilizado para el tendido de red presenta las siguientes
caractersticas:
Tipo de Cable: Par trenzado sin apantallar (UTP Categora 5)

Conectores: RJ-45
El tipo de cables y conectores utilizados para este tipo de red es adecuado,
segn la norma EIA/TIA, el problema radica en el tendido del cableado ya
que no cuenta con ninguna proteccin (canaletas) y adems los cables de
comunicacin de datos, elctricos y de telfono se encuentran amarrados
por otros cables.

49
C.- Modelo OSI, capa de Enlace

Capa de Enlace: Transforma los paquetes de informacin en tramas
adaptadas a los dispositivos fsicos sobres los cuales se realiza la
transmisin.
De acuerdo al inventario de hardware se resumen los siguientes
componentes:
Topologa de la Red: Estrella

Especificaciones: Ethernet
Tarjeta de Red: D-Link DFE-530TX PCI Fast Ethernet Adapter
Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo,
la cual es recomendable para la transferencia adecuada de los datos.
D.- Modelo OSI, capa de Red.
Capa de Red: Establece las rutas por las cuales se puede comunicar el
emisor con el receptor, lo que se realiza mediante el envo de
paquetes de informacin.
En la institucin si utilizan los siguientes componentes:
Velocidad de transmisin 10/100 MBps

Switch D-link de 8 puertos
Protocolo TCP/IP
49
De acuerdo a las necesidades de la empresa, el Switch empleado no

presenta problemas en la transmisin de datos ya que todos los
documentos realizados por los clientes se guardan en el servidor.
E.- Modelo OSI, capa de Transporte.
Capa de Transporte: Comprueba la integridad de los datos transmitidos
(que no ha habido prdidas ni corrupciones).
En la Empresa se utiliza el Protocolo TCP/IP para la transmisin datos, lo cual
es lo ptimo debido a que es ms seguro y utilizado en la actualidad que el
protocolo UDP.
F.- Modelo OSI, capa de Sesin.
Capa de Sesin: Establece los procedimientos de aperturas y cierres de
sesin de comunicaciones, as como informacin de la sesin en curso.
En la Empresa no existe un control de las sesiones ms que la que
propone el sistema operativo que se posee en cada computadora, lo

49
cual representa un hoyo en la seguridad de la informacin.
G.- Modelo OSI, capa de Presentacin.

49
Capa de Presentacin: Define el formato de los datos que se van a

presentar a la aplicacin.
Actualmente existen dos aplicaciones en red que son: Sistema de envi
(vcourier) y el otro sistema masivo

49
H.- Modelo OSI, capa de Aplicacin.

Capa de Aplicacin: Es donde la aplicacin que necesita comunicaciones
enlaza, mediante API (Application Program Interface) con el sistema
de comunicaciones.
De acuerdo a las entrevistas en la institucin se resume lo siguiente:
Se utiliza el Protocolo FTP para el intercambio de informacin, el cual
se usa para las impresoras.

Correo de la institucin.

49
AUDITORIA DE BASE DE DATOS

ALCANCE DE LA AUDITORIA:
Esta auditoria comprende solamente al rea informtica de la empresa OLVA
COURIER con respecto al cumplimiento del proceso "De Gestin administracin
de la Base de Datos " de la de manera que abarca la explotacin,
mantenimiento, diseo carga, post implementacin, Los sistemas de gestin
de base de datos (SGBD), software de auditoria , sistema operativo protocolos y
sistemas distribuidos.
OBJETIVOS
Verificar la responsabilidad para la planificacin de planillas y control de
los activos de datos de la organizacin (administrador de datos)

Verificar la responsabilidad de la administracin del entorno de la base de
datos (administrador de la base de datos)

Proporcionar servicios de apoyo en aspectos de organizacin y mtodos,
mediante la definicin, implantacin y actualizacin de Base de Datos y/o
procedimientos administrativos con la finalidad de contribuir a la eficiencia
Existe equipos o software de SGBD
ENCUESTA
49
1. Existe equipos o software de SGBD

2. La organizacin tiene un sistema de gestin de base dedatos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificar que los controles y relaciones de datos se realizan de acuerdo
a Normalizacin libre de error
5. Existe personal restringido que tenga acceso a la BD
6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo
7. La interfaz que existe entre el SGBD y el SO es el adecuado
8. Existen procedimientos formales para la operacin del SGBD?
9. Estn actualizados los procedimientos de SGBD?
10. La periodicidad de la actualizacin de los procedimientos es Anual ?
11. Son suficientemente claras las operaciones que realiza la BD?
12. Existe un control que asegure la justificacin de los procesos en el
computador? (Que los procesos que estn autorizados tengan una razn de ser
procesados)
13. Se procesa las operaciones dentro del departamento de cmputo?
14. Se verifican con frecuencia la validez de los inventarios de los archivos
magnticos?
15. Existe un control estricto de las copias de estos archivos?
16. Se borran los archivos de los dispositivos de almacenamiento, cuando se
desechan estos?
49
17. Se registran como parte del inventario las nuevas cintas magnticas que
recibe el centro de computo?
18. Se tiene un responsable del SGBD?
19. Se realizan auditorias peridicas a los medios de almacenamiento?
20. Se tiene relacin del personal autorizado para manipular la BD?
21. Se lleva control sobre los archivos trasmitidos por el sistema?
22. Existe un programa de mantenimiento preventivo para el dispositivo del
SGBD?
23. Existen integridad de los componentes y de seguridad de datos?
24. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema
de cmputo, existe equipo capacesque soportar el trabajo?
25. El SGBD tiene capacidad de teleproceso?
26. Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
27. La capacidad de almacenamiento mximo de la BD es suficiente para
atender el proceso por lotes y el proceso remoto?

49
VERIFICAR LA AUDITORIA INFORMATICA

49
INFORME ESPECFICO
1. Ttulo
Auditoria Fsica
2. Cliente
rea de informtica
3. Entidad Auditada
Empresa OLVA COURIER
4. Objetivos

49
Determinar y evaluar la poltica de mantenimiento y distribucin de los
equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente
Verificar si la seleccin de equipos y Sistemas de computacin es
adecuada.
5. Normativa aplicada y excepciones

Para esta auditora se ha tomado en cuenta la Normas de Auditorias
Gubernamentales: Normas de Control
Interno para sistemas
computarizados (NAGU 500).

6. Alcance
El presente trabajo de auditoria fsica, comprende el periodo 1013 y se ha
realizado a la Empresa OLVA COURIER, de acuerdo a las normas y dems
disposiciones aplicables.
7. Conclusiones
La seguridad fsica en
la
Institucin, segn
las
normativas
aplicadas, es favorable aunque con ciertas salvedades.

No se han tomado las previsiones necesarias en caso de futuros riesgos La
empresa OLVA VOURIER. Solo ha mostrado preocupacin en lo referente a las
operaciones propias del negocio, olvidndose en cierta parte de la
responsabilidad para con sus usuarios y trabajadores.
8.
Resultados
De acuerdo a los objetivos planteados previamente, los resultados seran los

siguientes:

Ubicacin de la institucin, favorable con salvedades, debido a que no se
trata de un local propio

Seguridad
de
las
instalaciones
en
cuanto
vigilancia, favorable, puesto que se cuenta con la seguridad de

49
la misma sede
Identificacin de Salidas, favorable con algunas salvedades como el
cuidado de no colocar objetos que obstruyan el paso

Seguridad ante Sismos, desfavorable, debido a que la salida inmediata
del ambiente coincide un el paso de vehculos, que muchas veceses
tomado
como estacionamiento de camionetas de la sede.
Seguridad ante Incendios, Desfavorable
Seguridad
elctrica, favorable con salvedades;
falta
organizacin en el cableado.
Verificar la seguridad de informacin.
El ambiente principal se encuentra toda la documentacin fsica de la
empresa, la misma que por tratarse de papeles, folios y aerosoles

constituyen material altamente inflamable, pese a ello no se cuenta con
un sistema contra incendios y por aun el personal no se encuentra
capacitado para el uso de ellos.

La data, adems de ser almacenada en el servidor, esta a disposicin
de los
trabajadores, quienes portan la documentacin en
disquete u otros
dispositivosde almacenamiento,
como CD,
memorias USB, echo poco favorable debido posible plagio de

informacin.
Evaluar la seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente
Aspecto desfavorable, debido a que el ambiente es pequeo, y no se
cuenta con la seguridad debida.
Verificar si
la seleccin de equipos y Sistemas de computacin
es adecuada.
Desfavorable, puesto
que
todas las
computadoras,
indistintamente de las caractersticas particulares que pueda tener, son

usadas para un mismo propsito

49
9. Recomendaciones
Reubicacin del local

Implantacin de equipos de ultima generacin
Implantar equipos de ventilacin
Implantar salidas de emergencia.
Elaborar un calendario de mantenimiento de rutina peridico . Capacitar
al personal.
10. Fecha Del Informe

FECHA DE INICIO
19-12-13
FECHA DE TERMINO
26-12-13
11. Identificacin Y Firma Del Auditor
-------------------------------ATT. Jos Luis

Callacondo
JEFE DE AUDITORIA
INFORMTICA
--------------------------------
--------------------------------
ATT. Isabel Vilca Quispe
ATT. Shirley Mamani
Rodrguez
INFORME FINAL
1. Identificacin del informe
Auditoria de la Ofimtica
2. Identificacin del Cliente
El rea de Informtica
49
3. Identificacin de la Entidad Auditada

OLCA COURIER
4. Objetivos
Verificar si el hardware y software se adquieren siempre y cuando tengan la
seguridad de que los sistemas computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.

Verificar si la seleccin de equipos y sistemas de computacin es adecuada
Verificar la existencia de un plan de actividades previo a la instalacin
Verificar que los procesos de compra de Tecnologa de Informacin, deben
estar sustentados en Polticas, Procedimientos, Reglamentos y Normatividad
en General, que aseguren que todo el proceso se realiza en un marco de
legalidad y cumpliendo con las verdaderas necesidades de la organizacin
para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.

Verificar si existen garantas para proteger la integridad de los recursos
informticos.
Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.
5. Normativa aplicada y excepciones
Para esta auditora se toman en cuenta la norma ISO 17799 y Normas de
Auditorias Gubernamentales: Normas de Control Interno para sistemas
computarizados (NAGU 500).
6. Hallazgos Potenciales
Falta de licencias de software.
Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimatico.
Faltan material ofimtica.
Carece de seguridad en Acceso restringido de los equipos ofimticos y
software.
7. Alcance de la auditoria

49
Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado

especialmente al Departamento de centro de cmputo de acuerdo a las normas y
dems disposiciones aplicable al efecto.
El alcance ha de definir con precisin el entorno y los lmites en que va a
desarrollarse la auditoria Ofimtica, se complementa con los objetivos de sta.
8. Conclusiones
El aspecto ofimtico de la Institucin, en la opinin del auditor a base de las
normativas aplicadas, es favorable aunque con salvedades.
No todo el software propietario que se maneja en la institucin est

debidamente licenciado, caso de los sistemas operativos y las
herramientasde escritorio (Office).

El rea de informatica presenta deficiencias sobre el debido cumplimiento
de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a la
organizacin, el cual no es explotado en su totalidad por falta de personal
capacitado.
9. Resultados
Revisin del inventario de los accesorios de cmputo
No cuentan con un inventario del parque informtico
Revisin de las licencias del software.

49
No todo el software propietario que se maneja en la institucin est

debidamente licenciado, caso de los sistemas operativos y las
herramientas de escritorio (Office)
Verificar el desempeo del software empleado en la institucin
Actualmente existen dos aplicaciones en red que son:
Sistema contable financiero (suite contasis), Sistema comercial (Suite

contasis) pero dichas aplicaciones no son utilizados actualmente, por lo que no
se le puede dar un calificativo de desempeo.
Seguridad en la Data
La seguridad en los datos es baja porque no cuentan con medidas de
seguridad, como por ejemplo los backup.

10. Recomendaciones
Se recomienda contar con sellos y firmas digitales
Un de manual de funciones para cada puesto de trabajo dentro del rea.
Reactualizacion de datos.
Implantacin de equipos de ultima generacin
Elaborar un calendario de mantenimiento de rutina peridico .
Capacitar al personal.
11. Fecha del Informe

FECHA DE INICIO
19-12-13
FECHA DE TERMINO
29-12-13
12. Identificacin y Firma del Auditor

49
----------------------------
---------------------------
----------------------------
ATT. Jos Luis
ATT. Isabel Vilca
ATT. Shirley Mamani
Callacondo
Quispe
Rodrguez
JEFE DE AUDITORIA
AUDITORA
AUDITORA
INFORMTICA
INFORMATICA
INFORMATICA
INFORME DE AUDITORIA
Auditoria del Sistema de Redes
49

OLVA COURIER
4. Objetivos
reas controladas para los equipos de comunicaciones, previniendo as
accesos inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicacin, para
evitar accesos fsicos

Revisar las polticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan
5.- Normativa aplicada y excepciones

La especificacin utilizada en esta auditora de redes es la Normativa actual
IEEE 802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa),
adems de la norma ISO 17799 y Normas de Auditorias Gubernamentales:
Normas de Control Interno para sistemas computarizados (NAGU 500).
6. Alcance
El presente trabajo de auditoria de red, comprende el presente periodo 2013 y se
ha realizado en la empresa OLVA COURIER de acuerdo a las normas y dems
disposiciones aplicables.
7.- Conclusiones
El aspecto de redes en la Empresa, la opinin de los Auditores a base de las
normativas aplicadas, es desfavorable.
No existe un conocimiento actualizado del cableado de red; el cableado no se
encuentra protegido y su distribucin e implementacin no es la buena,
aunque funcione la red.
49
8. Resultados
reas controladas para los equipos de comunicaciones,

previniendo as accesos inadecuados
Los equipos de comunicaciones ( Switch, router ) no se mantienen en
habitaciones cerradas
La seguridad fsica de los equipos de comunicaciones (Switch, Router) es
inadecuada.
Cualquier persona tiene acceso ya que se encuentra cerca de un lugar
transitable
proteccin y tendido adecuado de cables y lneas de
comunicacin, para evitar accesos fsicos
Los cables de comunicacin de datos, elctrios y de telfono estn
juntos y amarrados por otro cable.

No existen procedimientos para la proteccin de cables y bocas de
conexin, esto dificulta que sean interceptados o conectados por
personas no autorizadas
No se realiza revisiones preventivas a la red de comunicaciones
Revisar las polticas y normas sobre redes y el funcionamiento de
la red y la seguridad de los datos dentro de la Red Lan
No existen polticas y/o normas para regular el uso de la red de dicha
empresa
La red funciona correctamente de acuerdo al tamao de la empresa;
esta no podr soportar un desarrollo de la misma.

No existe una seguridad centralizada de los datos, slo la seguridad
brindada por el sistema operativo instalado en cada equipo.
9. Fecha del Informe

FECHA DE INICIO
19-12-13
FECHA DE TERMINO
26-12-13
10. Identificacin y Firma del Auditor

49
--------------------------------
--------------------------------
--------------------------------
ATT. Jos Luis
Callacondo
JEFE DE AUDITORIA
INFORMTICA
ATT. Shirley Mamani

Rodrguez
INFORME DE AUDITORIA
Auditoria de Base de Datos.
49
OLVA COURIER
4. Objetivos
Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que
trabaja, llaves, administracin y dems aspectos que repercuten en su trabajo.
Revisar del software institucional para la administracin de la Base de
Datos.
Verificar la actualizacin de la Base de Datos.
Verificar la optimizacin de almacenes de los Base de Datos
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y
velocidad en red para optimizar el desempeo de la base de datos.
5. Hallazgos Potenciales
No estn definidos los parmetros o normas de calidad.

Falta de presupuesto
Falta de personal
La gerencia de Base de datos no tiene un plan que permite modificar en
forma oportuna el plan a largo plazo de tecnologa, teniendo en cuenta los
posibles cambios tecnolgicos y el incremento de la base de datos.

No existe un calendario de mantenimiento de rutina peridico del software
definido por la Base de datos.
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado
especialmente al Departamento de centro de cmputo de acuerdo a las normas y
dems disposiciones aplicable al efecto.
7. Conclusiones:

49
Como resultado de la Auditoria podemos manifestar que hemos cumplido

con evaluar cada uno de los objetivos contenidos en el programa de
auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre todo en
el debido cumplimiento de Normas de seguridad de datos y administracin
de la Base de Datos.
8. Recomendaciones
Elaborar toda la documentacin lgica correspondiente a los sistemas de
administracin de la BD. Evaluar e implementar un software que permita
mantener el resguardo de acceso de los archivos de programas y an de los
programadores.
Implementar la relaciones con las diferentes reas en cuanto al
compartimiento dearchivos permitidos por las normas
Elaborar un calendario de mantenimiento de rutina peridico.
Capacitar al personal al manejo de la BD.
Dar a conocer la importancia del SGBD al usuario
9. Fecha Del Informe
FECHA DE INICIO
19-12-13
FECHA DE TERMINO
26-12-13
10. Identificacin Y Firma Del Auditor
--------------------------------
JEFE DE AUDITORIA
--------------------------------
INFORMTICA
ATT. Jos Luis
Callacondo

49
--------------------------------
ATT. Shirley Mamani
Rodrguez

49
ACTUAR DE LA AUDITORIA INFORMATICA
1. INFORME DEL CIERRE DE AUDITORIA

49
ACLARACION DE LA SOLICITUD
OLVA COURIER S.A
Ilo, 28 de Diciembre del 2013
Seores
OLVA COURIER S.A
De nuestra consideracin:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin
el alcance del trabajo de Auditora del rea de Informtica practicada los das 1628 del corriente, sobre la base del anlisis y procedimientos detallados de todas
las informaciones recopiladas y emitidos en el presente informe, que a nuestro
criterio es razonable.
Sntesis de la revisin realizada, clasificado en las siguientes secciones
Auditoria fsica
Auditoria ofimtica
Auditoria de sistema de redes
Auditoria de base de datos
El contenido del informe ha sido dividido de la siguiente forma a efectos de
facilitar su anlisis.
a. Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se
encuentran expuestos las operaciones realizadas por la Cooperativa.

49
c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el grado

crtico del problema y la oportunidad en que se deben tomar las acciones
correctivas del caso.
0 = Alto (acciones correctivas inmediatas)
1 = Alto (acciones preventivas inmediatas)
2 = Medio (acciones diferidas correctivas)
3 = Bajo (acciones diferidas preventivas)
d. Sugerencias. Indicamos a la Gerencia la adopcin de las medidas correctivas
tendientes a subsanar las debilidades comentadas.
Segn el anlisis realizado hemos encontrado falencias en que no existe un
Comit y plan informtico; falta de organizacin y administracin del rea;
falencias en la seguridad fsica y lgica; no existe auditora de sistemas; falta de
respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y
entorno de desarrollo y mantenimiento de las aplicaciones.
El detalle de las deficiencias encontradas, como as tambin las sugerencias de
solucin se encuentran especificadas en el Anexo adjunto. La aprobacin y puesta
en prctica de estas sugerencias ayudarn a la empresa a brindar un servicio ms
eficiente a todos sus clientes.
Agradecemos la colaboracin prestada durante nuestra visita por todo el
personal de su empresa Olva Courier y quedamos a vuestra disposicin para
cualquier aclaracin y/o ampliacin de la presente que estime necesaria.
Atentamente
EQUIPO AUDITORES S.R.L.

49
2 .OBSERVACIONES
FORMATO DE OSERVACIONES
Nombre
de
empresa
Observacin
la OLVA COURIER S.A

Seguridad Fsica Lgica
SITUACION
EFECTOS
IMPLICANCIA
Y/0
No existe una
vigilancia estricta
del
rea
de
Informtica
por
personal
de
seguridad dedicado
a este sector.
No
existe
detectores,
ni
extintores
automticos.
Existe material
altamente
inflamable.
Probable
difusin de datos
confidenciales.
Alta facilidad
para
cambios
involuntarios
o
intencionales de
datos, debido a la
falta de controles
internos.
Debido a la
debilidad
del
servicio
de
mantenimiento
SUGERENCIA
A los efectos de minimizar

los riesgos descriptos, se
sugiere:
Establecer guardia de
seguridad,
durante
horarios no habilitados
para el ingreso al rea de
Informtica.
Colocar detectores y
extintores de incendios
automticos en los lugares
necesarios.
Remover del Centro de
Cmputos los materiales
INDICE DE
IMPORTANCI
A
ESTABLECID
A
0 ( cero )

49
Carencia de un
estudio
de
vulnerabilidad,
frente a las riesgos
fsicos o no
fsicos, incluyendo
el
riesgo
Informtico.
No existe un
puesto
o
cargo
especfico para la
funcin
de
seguridad
Informtica
del
equipo
central,
la
continuidad de las
actividades
informticas
podran
verse
seriamente
afectadas
ante
eventuales
roturas
y/o
desperfectos
de
los sistemas.
inflamables.
Determinar
orgnicamente la funcin
de seguridad.
Realizar peridicamente
un
estudio
de
vulnerabilidad,
documentando
efectivamente el mismo, a
los efectos de implementar
las acciones correctivas
sobre los puntos dbiles
que se detecten.
Nombre
empresa
Observacin
SITUACION
Existe
rutina
trabajo
de
la OLVA COURIER S.A

Operacin de respaldo
EFECTOS
IMPLICANCIA
Y/0 SUGERENCIA
INDICE DE
IMPORTANCI
A
ESTABLECID
A
una La Empresa Olva Desarrollar normas 0 ( cero )
de Courier
est y
procedimientos
de expuesta a la perdida generales
que
49
tomar una copia

de respaldo de
datos
en
cuadernos
y
UBS,
que se
encuentra en el
recinto
del
centro
de
cmputos,
en
poder
del
auxiliar
de
informtica.
Si bien existen
la
copia
de
seguridad, no se
poseen normas
y/o
procedimientos
que exijan la
prueba
sistemtica de
las mismas a
efectos
de
establecer
los
mnimos niveles
de confiabilidad.
de informacin por
no
poseer
un
chequeo sistemtico
peridico
de
los
back-up's, y que los
mismas se exponen
a
riesgo
por
encontrarse en poder
del
auxiliar
de
informtica.
permitan la toma de
respaldo necesarios,
utilitario a utilizar.
Realizar 3 copias
de
respaldos
de
datos en Zip de las
cuales,
una
se
encuentre
en
el
recinto del rea de
informtica, otra en
la
sucursal
ms
cercana y la ltima
en poder del Jefe de
rea.
Implementar
pruebas sistemticas
semanales de las
copias y distribucin
de las mismas.
Nombre
de
la OLVA COURIER S.A
empresa
49
Observacin
Acceso a Usuarios
SITUACION
EFECTOS
IMPLICANCIA
De acuerdo a lo
relevado
hemos
constatado que:
Existen niveles de
acceso
permitidos,
los
cuales
son
establecidos
conforme
a
la
funcin que
Cumple cada uno de
los usuarios.
Los
usuarios
definidos al rotar o
retirarse del local no
son borrados de los
perfiles de acceso.
Las terminales en
uso y dado un cierto
tipo de inactividad
no salen del sistema.
El
sistema
informtico
no
solicita al usuario, el
cambio del Password
en forma mensual.
Existe
la
imposibilidad de
establecer
responsabilidades
dado que esta se
encuentra
dividida entre el
rea de sistema y
los
usuarios
finales.
La falta de
seguridad en la
utilizacin de los
Password,
podran ocasionar
fraudes
por
terceros.
Y/0 SUGERENCIA
INDICE DE
IMPORTANCI
A
ESTABLECID
A
Implementar 2 ( dos )
algn software de
seguridad
y
auditoria existente
en el mercado o
desarrollar
uno
propio.
Establecer una
metodologa
que
permita ejercer un
control
efectivo
sobre el uso o
modificacin de los
programas
o
archivos
por
el
personal autorizado.

49
Nombre de la empresa
Observacin
SITUACION
OLVA COURIER S.A

Plan de contingencia
EFECTOS Y/0 SUGERENCIA

IMPLICANCIA
INDICE DE
IMPORTANCI
A
ESTABLECID
A
Ausencia de un Plan Prdida de Establecer un plan 1 ( uno)
de
Contingencia informacin
de
contingencia
debidamente
vital.
escrito, en donde se
formalizado en el rea Prdida de establezcan
los
de Informtica.
la capacidad procedimientos
No existen normas y de
manuales
e
procedimientos
que procesamient informticos
para
indiquen
las
tareas o.
restablecer
la
manuales e informticas
operatoria
normal
que son necesarias para
de la Empresa y
realizar y recuperar la
establecer
los
capacidad
de
responsables
de
procesamiento ante una
cada sistema.
eventual
contingencia
Efectuar pruebas
(
desperfectos
de
simuladas en forma
equipos,
incendios,
peridica, a efectos
cortes de energa con
de monitorear el
ms de una hora ), y
desempeo de los
que
determinen
los
Funcionarios
niveles de participacin
responsables ante
y responsabilidades del
eventuales
rea de sistemas y de
desastres.
los
Establecer
49
Usuarios.
No existen acuerdos
formalizados de Centro
de Cmputos paralelos
con otras empresas o
proveedores
que
permitan la restauracin
inmediata
de
los
servicios informticos de
la empresa en tiempo
oportuno, en caso de
contingencia.
convenios
bilaterales
con
empresas
o
proveedores a los
efectos de asegurar
los
equipos
necesarios
para
sustentar
la
continuidad
del
procesamiento.
Nombre
de
empresa
Observacin
la OLVA COURIER S.A

Mantenimiento de las aplicaciones de las PC
SITUACION
EFECTOS
IMPLICANCIA
Y/0 SUGERENCIA
No
existe
documentaciones
tcnicas
del
sistema integrado
de la Entidad y
tampoco no existe
un
control
o
registro formal de
las modificaciones
La
escasa
documentacin
tcnica de cada
sistema dificulta la
compresin de las
normas,
demandando
tiempos
considerables para
INDICE DE
IMPORTANCI
A
ESTABLECID
A
Elaborar toda la 1 ( uno)
documentacin
tcnica
correspondiente
a
los
sistemas
implementados
y
establecer normas y
procedimientos
para los desarrollos

49
efectuadas.
No se cuenta
con un Software
que permita la
seguridad de las
libreras de los
programas y la
restriccin
y/o
control del acceso
de los mismos.
Las
modificaciones a
los programas son
solicitadas
generalmente sin
notas internas, en
donde
se
describen
los
cambios
o
modificaciones
que se requieren.
su mantenimiento e
imposibilitando
la
capacitacin
del
personal nuevo en
el rea.
Se incrementa
an
ms
la
posibilidad
de
producir
modificaciones
errneas
y/o
no
autorizadas a los
programas
o
archivos y que las
mismas no sean
detectadas
en
forma oportuna.
y su actualizacin.
Evaluar
e
implementar
un
software
que
permita mantener
el
resguardo
de
acceso
de
los
archivos
de
programas y an de
los programadores.
Implementar y
conservar todas las
documentaciones
de prueba de los
sistemas, como as
tambin
las
modificaciones
y
aprobaciones
de
programas
realizadas por los
usuarios
Nombre
de
la OLVA COURIER S.A
empresa
Observacin
rea Informtica
N SITUACION
EFECTOS
IMPLICANCIA
Y/0 SUGERENCIA
INDICE
DE
IMPORTANCI
A
49
ESTABLECID
1
No
existe
validacin
de
una La Empresa Olva

la Courier
A
Implementar 0 (cero )
se debidamente
donde encuentra
controles
los
cuenta
debera
acreditarse expuesta a serios necesarios para el
el monto del aporte riesgos,

social.
entre adecuado
ellos:
internos
manejo
del
El inventario de Posibilidad de Usuario final.

salidas y entradas que
ocurran Implementar un
de cada operacin errores
por
se hace en forma falta
la sistema de respaldo
de de
inventario
de
manual, tanto en la conocimiento del envos automtico.

parte de recepcin tema contable en
de envos, como de el rea operativa.
los
envos
en Alto riesgo de
procesos cuando se que

cae el sistema.
el
usuario
final
pueda
incurrir
en
cambios
no
autorizados
en
los sistemas, por

cuanto
que
usuario
tiene
irrestricto
el
final
acceso
al
mismo.

49
Nombre
de
la OLVA COURIER S.A
empresa
Observacin
Auditoria de sistema
SITUACION
EFECTOS
Y/0 SUGERENCIA
INDICE
IMPLICANCIA
DE
IMPORTANCI
A
ESTABLECID
A
Establecer 0 ( cero )
Hemos observado Posibilidad de

que en Olva Courier que
normas
no
procedimientos
cuenta
auditora
con adulteraciones
voluntarias
o en
Informtica , ni con involuntarias

polticas
los
que
se
fijen
sean realizadas a responsables,
formales
que los elementos
periodicidad y
establezcan
componentes del metodologa
responsables,
procesamiento de control de todos
frecuencias
y datos
los
metodologa a seguir (programas,

para
efectuar archivos
revisiones
de
los datos,
archivos
Cabe destacar que seguridad
de
auditoria
que
de pudieran
existir
como
archivos de auditora. definiciones de
de
asimismo,
de
de todos
los
el sistema integrado acceso, etc. ) o elementos

posee un archivo que bien
accesos
a componentes
de

49
pudiera
servir
de datos
auditoria
los
confidenciales
sistemas
de
aplicacin.
Informtica, el cual por personas no

no es habilitado por autorizadas
falta de espacio en el que
disco duro.
no
sean
detectadas
oportunamente.
3. RESULTADOS RECOMENDACIONES Y ACCIONES DE LA AUDITORIA

A. Seguridad Fsica Y Lgica
A1.Entorno General
-Situacin
Durante nuestra revisin, hemos observado lo siguiente:
No existe una vigilancia estricta del rea de Informtica por personal de
seguridad dedicado a este sector.
No existe detectores, ni extintores automticos.
Existe material altamente inflamable.
Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a los
riesgos fsicos o no fsicos, incluyendo el riesgo Informtico.
No existe un puesto o cargo especifico para la funcin de seguridad
Informtica.
-Efectos y/o implicancias probables

Probable difusin de datos confidenciales.
Alta facilidad para cambios involuntarios o intencionales de datos, debido a
la falta de controles
49
internos.
Debido a la debilidad del servicio de mantenimiento del equipo central, la
continuidad de las
actividades informticas
podran
verse
seriamente
afectadas
ante
eventuales roturas y/o

desperfectos de los sistemas.
-Sugerencias
A los efectos de minimizar los riesgos descriptos, se sugiere:
Establecer guardia de seguridad, durante horarios no habilitados para el
ingreso al rea de Informtica.
Colocar detectores y extintores de incendios automticos en los lugares
necesarios.
Remover del Centro de Cmputos los materiales inflamables.
Determinar orgnicamente la funcin de seguridad.
Realizar peridicamente un estudio de vulnerabilidad, documentando
efectivamente el mismo, a los efectos de implementar las acciones
correctivas sobre los puntos dbiles que se detecten.
A2.Auditora de Sistema
-Situacin
Hemos observado que la Empresa Olva Courier no cuenta con auditora
Informtica, ni con polticas formales que establezcan responsables,
frecuencias y metodologa a seguir para efectuar revisiones de los archivos
de auditora.

49
Cabe destacar que el sistema integrado posee un archivo que pudiera servir
de auditoria Informtica, el cual no es habilitado por falta de espacio en el
disco duro.
Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas
a los elementos componentes del procesamiento de datos (programas,
archivos de datos, definiciones de seguridad de acceso, etc.) o bien accesos
a datos confidenciales por personas no autorizadas que no sean detectadas
oportunamente.
-Sugerencias
Establecer normas y procedimientos en los que se fijen responsables,
periodicidad y metodologa de control de todos los archivos de auditoria
que pudieran existir como asimismo, de todos los elementos componentes
de los sistemas de aplicacin.
A.3. Operaciones de Respaldo
-Situacin
Durante nuestra revisin hemos observado que:
Existe una rutina de trabajo de tomar una copia de respaldo de datos en
Cuadernos y USB, que se encuentra en el recinto del centro de cmputos,
en poder del auxiliar de informtica.

49
Si bien existen la copia de seguridad, no se poseen normas y/o

procedimientos que exijan la prueba sistemtica de las mismas a efectos
de establecer los mnimos niveles de confiabilidad.
- Efectos y/o implicancias probables

La Empresa Olva Courier est expuesta a la perdida de informacin por no
poseer un chequeo sistemtico peridico de los backup's, y que los mismas
se exponen a riesgo por encontrarse en poder del auxiliar de informtica.
-Sugerencias
Minimizar los efectos, ser posible a travs de:
Desarrollar normas y procedimientos generales que permitan la toma de
respaldo necesarios, utilitario a utilizar.
Realizar 3 copias de respaldos de datos en Zip de las cuales, una se
encuentre en el recinto del rea de informtica, otra en la sucursal ms
cercana y la ltima en poder del Jefe de rea.
Implementar pruebas sistemticas semanales de las copias y distribucin
de las mismas.
A.4. Acceso a usuarios
-Situacin
De acuerdo a lo relevado hemos constatado que:
Existen niveles de acceso permitidos, los cuales son establecidos conforme
a la funcin que cumple cada uno de los usuarios.
Los usuarios definidos al rotar o retirarse del local no son borrados de los
perfiles de acceso.

49
Las terminales en uso y dado un cierto tipo de inactividad no salen del

sistema.
El sistema informtico no solicita al usuario, el cambio del Password en
forma mensual.
-Efectos y/o implicancia probables
Existe la imposibilidad de establecer responsabilidades dado que esta se
encuentra dividida entre el rea de sistema y los usuarios finales.
La falta de seguridad en la utilizacin de los Password, podran ocasionar
fraudes por terceros.
- Sugerencia
Implementar algn software de seguridad y auditoria existente en el
mercado o desarrollar uno propio.
Establecer una metodologa que permita ejercer un control efectivo sobre el
uso o modificacin de los programas o archivos por el personal autorizado.
A.5. Plan de Contingencias

-Situacin
En el transcurso de nuestro trabajo hemos observado lo siguiente:
Ausencia de un Plan de Contingencia debidamente formalizado en el rea
de Informtica.
No existen normas y procedimientos que indiquen las tareas manuales e
informticas que son necesarias para realizar y recuperar la capacidad de
procesamiento ante una eventual contingencia (desperfectos de equipos,
incendios, cortes de energa con ms de una hora ), y que determinen los
49
niveles de participacin y responsabilidades del rea de sistemas y de los

usuarios.
No existen acuerdos formalizados de Centro de Cmputos paralelos con
otras empresas o proveedores que permitan la restauracin inmediata de
los servicios informticos de la Empresa Olva Courier en tiempo oportuno,
en caso de contingencia.
-Efectos y/o implicancia probable
Prdida de informacin vital.
Prdida de la capacidad de procesamiento.

-Sugerencias
Establecer un plan de contingencia escrito, en donde se establezcan los
procedimientos manuales e informticos para restablecer la operatoria
normal de la Empresa Olva Courier y establecer los responsables de cada
sistema.
Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el
desempeo de los funcionarios responsables ante eventuales desastres.
Establecer convenios bilaterales con empresas o proveedores a los efectos
de asegurar los equipos necesarios para sustentar la continuidad del
procesamiento.
B. Desarrollo y mantenimiento de los sistemas de aplicaciones
B.1. Entorno de Desarrollo y mantenimiento de las aplicaciones
-Situacin
No
existe
documentaciones
tcnicas
del
sistema
integrado
de
la
Cooperativa y tampoco no existe un control o registro formal de las

modificaciones efectuadas.
49
No se cuenta con un Software que permita la seguridad de las libreras de

los programas y la restriccin y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas
internas, en donde se describen los cambios o modificaciones que se
requieren.
Efectos y/o implicancias probables
La escasa documentacin tcnica de cada sistema dificulta la compresin
de las normas, demandando tiempos considerables para su mantenimiento
e imposibilitando la capacitacin del personal nuevo en el rea.
Se incrementa an ms la posibilidad de producir modificaciones errneas
y/o no autorizadas a los programas o archivos y que las mismas no sean
detectadas en forma oportuna.
-Sugerencias
Para reducir el impacto sobre los resultados de los efectos y consecuencias
probables sugerimos:
Elaborar toda la documentacin tcnica correspondiente a los sistemas
implementados y establecer normas y procedimientos para los desarrollos y
su actualizacin.
Evaluar e implementar un software que permita mantener el resguardo de
acceso de los archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los
sistemas,
como
as
tambin
las
modificaciones
aprobaciones
de
programas realizadas por los usuarios

C. rea de Informtica
-Situacin

49
No existe una validacin de la cuenta a donde debera acreditarse el monto

del aporte social.
El inventario de salidas y entradas de cada operacin se hace en forma
manual, tanto en la parte de recepcin de envos, como de los envos en
procesos cuando se cae el sistema.
.
La Empresa Olva Courier se encuentra expuesta a serios riesgos, entre ellos:
Posibilidad de que ocurran errores por la falta de conocimiento del tema
contable en el rea operativa.
Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados
en los sistemas, por cuanto que el usuario final tiene acceso irrestricto al
mismo.
-Sugerencias
Implementar debidamente los controles internos necesarios para el
adecuado manejo del usuario final.
Implementar un sistema de respaldo de inventario de envos automtico.
4. AUTOMATIZACION DE PROCESOS

49

49
5. CONCLUSIONES
La empresa OLVA COURIER tanto materiales como humanos, con lo anterior, se
puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla un
elemento del que se compone, trae consigo un efecto domino, que hace que los
dems elementos bajen su rendimiento, o en el peor de los casos sean causantes
del fracaso de la institucin.
El factor humano es lo ms importante, ya que si se cuenta con tecnologa de
punta, pero con personal no calificado o en desacuerdo con el desarrollo del
Centro de Computo optara por renunciar, o bien por seguir rezagando al mismo
Asimismo la capacitacin es importantsima, ya que si no hay capacitacin
permanente, el personal tcnico de la empresa decide abandonarla para buscar
nuevos horizontes y mayor oportunidad, aun sacrificando el aspecto econmico.
El aspecto organizativo tambin debe estar perfectamente estructurado, y las
lneas de mando deben estar bien definidas, evitando de esta manera la rotacin
innecesaria de personal, la duplicidad de funciones, las lneas alternas demando,
etc. y que conllevan al desquiciamiento de la estructura organizacional.
Hablando de seguridad, es indispensable el aseguramiento del equipo y de las
instalaciones, as como de la informacin, el control de los accesos tambin es
punto fundamental para evitar las fugas de informacin o manipulacin indebida
de esta.
El Departamento de informtica es la parte medular de la empresa, es en donde
los datos se convierten en informacin til a las diferentes reas, es donde se
guarda esta informacin y por consecuencia, donde en la mayora de los casos se
toman las decisiones importantes para la empresa.
Adems al realizar la presente auditoria nos damos cuenta que dentro del
ambiente empresarial es de vital importancia contar con la informacin lo ms
49
valiosa que sea, a tiempo, de forma oportuna, clara, precisa y con cero errores
para que se constituya en una herramienta poderosa para la toma de decisiones,
vindose reflejada en la obtencin de resultados benficos a los fines de la
organizacin y justificar el existir de toda la organizacin o empresa.
Como resultado de la Auditoria Informtica realizada a la empresa OLVA
COURIER, por el perodo comprendido entre 19-28 de Diciembre del 2013
podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos
contenidos en el programa de auditoria.
El rea de Informtica presenta deficiencias en:
Y en el debido cumplimiento de sus funciones. Podremos estar tranquilos y
seguros que nuestra funcin de auditores est funcionando como se debe, y saber
que cuando se siguen estos lineamientos se obtendrn sistemas que no van a
necesitar mantenimiento excesivo, que el cmputo va a ser parte de la solucin y
no parte del problema, como lo es hoy en da.
6. FIRMAS
Elaborado por
Jos
Revisado por:
Luis Isabel Vilca Quispe
Callacondo
Autorizado por:
Shirley
Mamani
Rodrguez
Firma
Firma
Firma

49
RECOMENDACIONES
Realizar evaluaciones peridicas con el fin de medir el avance de cada
uno de los procesos estudiados en este trabajo.

Se debe utilizar software aplicativo con licenciamiento, as como adecuar
las instalaciones del rea de informtica, puesto que el espacio de
trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.

Hacer el uso del presente trabajo, con el fin de tomarlo como gua para
futuras mejoras en TI.

49
CONSEJOS
1. Utiliza un buen antivirus y actualzalo frecuentemente.
2. Comprueba que tu antivirus incluye soporte tcnico, resolucin urgente de
nuevos
virus y servicios de alerta.
3. Asegrate de que tu antivirus est siempre activo.
4. Verifica, antes de abrir, cada nuevo mensaje de correo electrnico recibido.
5. Evita la descarga de programas de lugares no seguros en Internet.
6. Rechaza archivos que no hayas solicitado cuando ests en chats o grupos de
noticias
7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu
ordenador.
8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.
9. Analiza el contenido de los archivos comprimidos.
10. Mantente alerta ante acciones sospechosas de posibles virus.

49
11. Aade las opciones de seguridad de las aplicaciones que usas normalmente a
tu
poltica de proteccin antivirus.
12. Realiza peridicamente copias de seguridad.
13. Mantente informado.
14. Utiliza siempre software legal.
15. Exige a los fabricantes de software, proveedores de acceso a Internet y
editores de
publicaciones, que se impliquen en la lucha contra los virus
BIBLIOGRAFIA
http://www.slideshare.net/AmdCdmas/informe-final-de-auditoria-informatica
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html}
http://anaranjo.galeon.com/conceptos.htm
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/und_0/

49
http://auditoriainformaticafcat.blogspot.com/2012/02/ejemplo-de-propuesta-
de-auditoria.html
http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html
ANEXOS
49
A. Cuestionario de
Auditora correspondiente
al funcionamiento
del rea de Informtica:

Se tiene restringida la operacin del sistema de cmputo a los usuarios?
SI ( )
NO ( )
Son funcionales los muebles asignados para los equipos de cmputo?
SI ( )
NO ( )
B. Cuestionario de Auditora correspondiente a la seguridad fsica:

OLVA COURIER cuenta con extintores de fuego?
SI ( )
NO ( )
49
Existe salida de emergencia?

SI ( )
NO ( )
Existe alarma para detectar fuego (calor o humo) en forma automtica?

SI ( )
NO ( )
Existen una persona responsable de la seguridad?

SI ( )
NO ( )
El lugar donde se encuentra OLVA COURIER est situado a salvo de:

a) Inundacin? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( )
C. Cuestionario de Auditoria en Redes:
Estn establecidos controles especiales para salvaguardar la confidencialidad e
integridad del procesamiento de los datos que pasan a travs de redes pblicas, y
para proteger los sistemas conectados?
___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________
Existen
controles
especiales para mantener
la disponibilidad de los
servicios de red y computadoras conectadas?

49
___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________
Existen protocolos de comunicaron establecida?

___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________
Existe un plan de infraestructura de redes?

___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________
Existen
controles
procedimientos
de
gestin
para proteger el
acceso a las conexiones y servicios de red?

___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________
FOTOS

49

49

49

49

49

49

49

49

49

49

49

49

49

49

49

49

49
PREGUNTAS A. FISICA
SI
1. Se han adoptado medidas de seguridad en el departamento de

Sistemas de informacin?
2. Existe
una
persona
responsable
de
la
seguridad?
3. Se ha dividido la responsabilidad para tener un mejor control de la
Seguridad?
4. Existe
personal
de
vigilancia
en
la
institucin?
NO
X
X
X
5. Existe una clara definicin de funciones entre los puestos clave?
6. Se investiga a los vigilantes cuando son contratados directamente?

7. Se
controla
el
trabajo
fuera
de
horario?
X
X
8. Se registran las acciones de los operadores para evitar que realicen

Algunas pruebas que puedan daar los sistemas?.
N/A
9. Existe vigilancia en el departamento de cmputo las 24 horas?
10. Se permite el acceso a los archivos y programas a los

Programadores, analistas y operadores?

49
11. Se ha instruido a estas personas sobre que medidas tomar en caso

de que alguien pretenda entrar sin autorizacin?
12. El centro de cmputo tiene salida al exterior?

X
13. Son controladas las visitas y demostraciones en el centro de X
Cmputo?
14. Se registra el acceso al departamento de cmputo de personas X
Ajenas a la direccin de informtica?
15. Se vigilan la moral y comportamiento del personal de la direccin de
X
Informtica con el fin de mantener una buena imagen y evitar un posible
fraude?
16. Se ha adiestrado el personal en el manejo de los extintores?
X
17. Se revisa de acuerdo con el proveedor el funcionamiento de los
X
Extintores?
18. Si es que existen extintores automticos son activador por detectores
X
Automticos de fuego?
19. Los interruptores de energa estn debidamente protegidos,
X
Etiquetados y sin obstculos para alcanzarlos?
20. Saben que hacer los operadores del departamento de cmputo, en X
Caso de que ocurra una emergencia ocasionado por fuego?
21. El personal ajeno a operacin sabe que hacer en el caso de una
X
Emergencia (incendio)?
22. Existe salida de emergencia?
X
23. Se revisa frecuentemente que no est abierta o descompuesta la cerradura
de esta puerta y de las ventanas, si es que existen?
24. Se ha adiestrado a todo el personal en la forma en que se deben X
Desalojar las instalaciones en caso de emergencia?
SI NO N/A
25. Se ha prohibido a los operadores el consumo de alimentos y bebidas X en
interior del departamento de cmputo para evitar daos al equipo?
26. Se limpia con frecuencia el polvo acumulado debajo del piso falso si X
Existe?
27. Se cuenta con copias de los archivos en lugar distinto al de la
Computadora?
28. Se tienen establecidos procedimientos de actualizacin a estas
Copias?
29. Existe departamento de auditoria interna en la institucin?
X
30. Este departamento de auditoria interna conoce todos los aspectos de
los sistemas?
31. Se cumplen?
32. Se auditan los sistemas en operacin?
33. Una vez efectuadas las modificaciones, se presentan las pruebas a
los interesados?
34. Existe control estricto en las modificaciones?
el
X
X
X
X
X
X
X

49
35. Se revisa que tengan la fecha de las modificaciones cuando se X

Hayan efectuado?
36. Si se tienen terminales conectadas, se ha establecido
Procedimientos de operacin?
37. Se ha establecido que informacin puede ser acezada y por qu
Persona?
PREGUNTAS- A. OFIMATICA
SI
NO
X
X
N/A
1. Existe un informe tcnico en el que se justifique

la adquisicin del equipo, software y servicios de
computacin,
incluyendo
un
estudio
costo-
beneficio?
2. Existe un comit que coordine y se
responsabilice de todo el proceso de adquisicin e
instalacin?
3. Han elaborado un instructivo con procedimientos
a seguir para la seleccin y adquisicin de
equipos, programas y servicios computacionales?
4. se cuenta con software de oficina?
5. Se han efectuado las acciones necesarias para una
mayor participacin de proveedores?

49
S
I
N
O
N
/
A
6. Se ha asegurado un respaldo de mantenimiento
y asistencia tcnica?
7. El acceso al centro de cmputo cuenta con las
seguridades necesarias para reservar el ingreso
al personal autorizado?
8. Se han implantado claves o password para
garantizar operacin de consola y equipo central
(mainframe), a personal autorizado?

9. Se han formulado polticas respecto a seguridad,
privacidad y proteccin de las facilidades de
procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de
violacin?
10. Se mantiene un registro permanente (bitcora)
de todos los
procesos
realizados, dejando
constancia de suspensiones o cancelaciones de
procesos?
11. Los
operadores
del
equipo central
estn
entrenados para recuperar o restaurar informacin

en caso de destruccin de archivos?
12. Los backups son mayores de dos (padres e
hijos) y se guardan en lugaresseguros
adecuados, preferentemente en bvedas de
bancos?
13. Se han implantado calendarios de operacin a
fin de establecer prioridades de proceso?
14. Todas las actividades del Centro de Computo
estn normadas mediante manuales, instructivos,
normas, reglamentos, etc.?

15. Las instalaciones cuentan con sistema de
alarma por presencia de fuego, humo, as como
extintores de incendio, conexiones elctricas
seguras, entre otras?
SI
16. Se han instalado equipos que protejan la
informacin y los dispositivos en caso de variacin
de
voltaje
como:
reguladores
de
voltaje,
supresores pico, UPS, generadores de energa?

17. Se han contratado plizas de seguros para
proteger la informacin, equipos, personal y todo
riesgo que se produzca por casos fortuitos o mala
operacin?
18. Se han Adquirido equipos de proteccin como
supresores de pico, reguladores de voltaje y de
ser posible UPS previo a la adquisicin del
equipo?
19. Si se vence la garanta de mantenimiento del
proveedor se contrata mantenimiento preventivo y
correctivo?
20. Se establecen procedimientos para obtencin de
backups de paquetes y de archivos de datos?
NO
N/A
21. Se hacen revisiones peridicas y sorpresivas del

contenido del disco para verificar la instalacin de
aplicaciones no relacionadas a la gestin de la
empresa?
22. Se mantiene programas y procedimientos de
deteccin e inmunizacin de virus en copias no
autorizadas o datos procesados en otros equipos?

23. Se propende a la estandarizacin del Sistema
Operativo, software utilizado como procesadores
de palabras, hojas electrnicas, manejadores de
base de datos y se mantienen actualizadas las
versiones y la capacitacin sobre modificaciones
incluidas?
PREGUNTAS - A. BASE DE
DATOS
SI NO
1. Existe equipos o software de SGBD
2. La organizacin tiene un sistema de gestin de base
de datos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificar que los controles y relaciones de datos
se realizan de acuerdo a Normalizacin libre de error
5. Existe personal restringido que tenga acceso a la BD
6. El SGBD es dependiente de los servicios que ofrece el
Sistema Operativo
7. La interfaz que existe entre el SGBD y el SO es el
adecuado
8. Existen procedimientos formales para la operacin del
SGBD?
9. Estn actualizados los procedimientos de SGBD?
10. La periodicidad de la actualizacin de los procedimientos
es Anual ?
11. Son suficientemente claras las operaciones que realiza la
BD?
12. Existe un control que asegure la justificacin de los
procesos en el computador? (Que los procesos que estn
autorizados tengan una razn de ser procesados)
13. Se procesa las operaciones dentro del departamento de
cmputo?
14. Se verifican con frecuencia la validez de los inventarios de
los archivos magnticos?
15. Existe un control estricto de las copias de estos archivos?
16. Se borran los archivos de los dispositivos
almacenamiento, cuando se desechan estos?
de
17. Se registran como parte del inventario las nuevas cintas

magnticas que recibe el centro de computo?
18. Se tiene un responsable del SGBD?
N/A
SI NO
N/A
19. Se realizan auditorias peridicas a los medios de

almacenamiento?
20. Se tiene relacin del personal autorizado para manipular
la BD?
21. Se lleva control sobre los archivos trasmitidos por el
sistema?
22. Existe un programa de mantenimiento preventivo para el
dispositivo del SGBD?
23. Existen integridad de los componentes y de seguridad de
datos?
24. De acuerdo con los tiempos de utilizacin de
cada dispositivo del sistema de cmputo, existe equipo
capaces que soportar el trabajo?
25. El SGBD tiene capacidad de teleproceso?
26. Se ha investigado si ese tiempo de respuesta satisface
a los usuarios?
27. La capacidad de almacenamiento mximo de la BD
es suficiente para atender el proceso por lotes y el
proceso remoto?
PREGUNTAS A. DE REDES
SI
1. La gerencia de redes tiene una poltica definida
de planeamiento de tecnologa de red?

2. Esta poltica es acorde con el plan de calidad de la
organizacin
3. La gerencia de redes tiene un plan que permite modificar en
forma oportuna el plan a largo plazo de tecnologa de

redes
teniendo
en cuenta
los
posibles
cambios
tecnolgicos o en la organizacin?
4. Existe un inventario de equipos y software asociados a
las redes de datos?
NO
N/A
SI
6. Existe un plan de infraestructura de redes?
7. El plan de compras de hardware y software para el sector
redes est de acuerdo con el plan de infraestructura
de redes?
8.
La responsabilidad operativa de las redes esta separada de

las de operaciones del computador?
9. Estn establecidos controles especiales para salvaguardar la

confidencialidad e integridad del procesamiento de los datos que
pasan a travs de redes pblicas, y para proteger los sistemas
conectados
10. Existen controles especiales para mantener la disponibilidad de
los servicios de red y computadoras conectadas?
11. Existen controles y procedimientos de gestin para proteger
el acceso a las conexiones y servicios de red.?
12. Existen protocolos de comunicaron establecida
13. Existe una topologa estandarizada en toda la organizacin
14. Existen normas que detallan que estndares que
deben cumplir el hardware y el software de tecnologa de

redes?
15. La transmisin de la informacin en las redes es segura?
16. El acceso a la red tiene password?
NO
N/A

AUDITORIA-INFORMATICA - Cuestionario y Fotos de Evidenciaaa

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AUDITORIA-INFORMATICA - Cuestionario y Fotos de Evidenciaaa

Uploaded by

Copyright:

Available Formats

INTEGRANTES:

ISABEL VILCA QUISPE

RECURSOS PARA LA AUDITORIA..........................................15

UNIVERSIDAD NACIONAL DE MOQUEGUA

UNIVERSIDAD NACIONAL DE MOQUEGUA

SOLICITUD DE AUDITORA INTERNA A LA EMPRESA OLVA CORIER

Que para la realizacin de dicha Auditora del ao 2013 se enve a los

Que la realizacin de la Auditora Interna en el centro al que representa

Que no se realice la Auditora Interna en su centro los das Sbados ni

Asimismo, el centro asume el compromiso de cumplir con las pautas que se le

---------------------------------ATT. Jos Luis Callacondo

---------------------------------ATT. Isabel Vilca Quispe

UNIVERSIDAD NACIONAL DE MOQUEGUA

---------------------------------ATT. Shirley Mamani Rodriguez

En la Actualidad los Sistemas Informticos constituyen una herramienta bastante

ayuda a detectar errores y sealar fallas en determinadas

pequea que esta sea.

UNIVERSIDAD NACIONAL DE MOQUEGUA

Cabe resaltar que para la realizacin de una auditoria informtica eficaz, es

UNIVERSIDAD NACIONAL DE MOQUEGUA

1.1. ORIGEN DE LA AUDITORIA:

eficiente y segura informacin que servir para una adecuada toma de

almacenamiento bsico del rea de Informtica

mantenimiento del orden dentro del rea de cmputo.

en distritos estratgicos de Lima, 270 oficinas en provincias y ms de 200

UNIVERSIDAD NACIONAL DE MOQUEGUA

UNIVERSIDAD NACIONAL DE MOQUEGUA

1.5. ENFOQUE A UTILIZAR

Internacionales de Auditoria (NIA); habindose aplicado procedimientos de

ORGANIZACIN QUE LLEVA

1.7. CRONOGRAMA DE TRABAJO

- Ing. Jos Luis

internos de la entidad a auditar

- Ing. Jos Luis

2.Analisis de las claves de acceso y

control seguridad, confiabilidad y

UNIVERSIDAD NACIONAL DE MOQUEGUA

lgico y del desarrollo del sistema

3.Elaboracion de carta de Gerencia

UNIVERSIDAD NACIONAL DE MOQUEGUA

UNIVERSIDAD NACIONAL DE MOQUEGUA

UNIVERSIDAD NACIONAL DE MOQUEGUA

Auditoria del hardware

UNIVERSIDAD NACIONAL DE MOQUEGUA

VASQUEZ LOPEZ GUSTAVO

VASQUEZ VELA ROSA MERCEDES

VASQUEZ VELA ANDERSON

1.10. PRINCIPALES ACTIVIDADES:

UNIVERSIDAD NACIONAL DE MOQUEGUA

especial. - Reporte de entregas diarias, semanales o mensuales. - Sistema

- Partida de confirmacin. - Partida de primera

- Duplicado de tarjetas de propiedad

UNIVERSIDAD NACIONAL DE MOQUEGUA

1.11. RECURSOS PARA LA AUDITORIA

Materiales de escritorio y oficina.

Solicitud de los estndares utilizados y programa de trabajo

o Solicitud del anlisis y diseo del os sistemas en desarrollo y en

cada sistema (flujo de informacin, formatos, reportes y consultas)

necesidades y equerimientos del usuario

actuales, proyectos sobre ampliacin de equipo, su actualizacin

Elaboracin y presentacin del informe final ( conclusiones y

Falta de planes y Programas Informticos.

UNIVERSIDAD NACIONAL DE MOQUEGUA